Berechtigungsproblem Tabelle "Personalwesen Bemerkungszeile"
21. Juli 2014 16:28
Hallo zusammen,
ich habe hier ein sehr interessantes Verhalten, dass ich mir aktuell nicht erklären kann.
Unsere 2.6 Installation läuft technisch auf 2009 unter SQL Server 2008. Nachdem wir früher alle User als dbo angelegt haben, sind wir in der letzten Zeit dazu übergegangen die User im NAV Client anzulegen und dann zu synchronisieren. Damit haben neu angelegte User kein dbo mehr.
Heute habe ich einen neuen Account für die Personalabteilung angelegt (ohne dbo) und auf einmal scheitert die Kollegin beim Aufruf der Mitarbeiter Karte mit einem Berechtigungsfehler.
Die betroffene Tabelle Personalwesen Bemerkungszeile (5208) ist bei uns keiner Rolle bzw. keinem User zugeordnet. Bei den Altusern (dbo) klappt der Zugriff, beim neu angelegten User nicht.
Gibt's da unterhalb von NAV noch eine Tabellen-/Objekt- Berechtigungsebene???
Danke & Gruß
42
ich habe hier ein sehr interessantes Verhalten, dass ich mir aktuell nicht erklären kann.
Unsere 2.6 Installation läuft technisch auf 2009 unter SQL Server 2008. Nachdem wir früher alle User als dbo angelegt haben, sind wir in der letzten Zeit dazu übergegangen die User im NAV Client anzulegen und dann zu synchronisieren. Damit haben neu angelegte User kein dbo mehr.
Heute habe ich einen neuen Account für die Personalabteilung angelegt (ohne dbo) und auf einmal scheitert die Kollegin beim Aufruf der Mitarbeiter Karte mit einem Berechtigungsfehler.
Die betroffene Tabelle Personalwesen Bemerkungszeile (5208) ist bei uns keiner Rolle bzw. keinem User zugeordnet. Bei den Altusern (dbo) klappt der Zugriff, beim neu angelegten User nicht.
Gibt's da unterhalb von NAV noch eine Tabellen-/Objekt- Berechtigungsebene???
Danke & Gruß
42
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
22. Juli 2014 08:31
Hallo,
deine Frage kann ich mit "Ja" beantworten.
Wirf mal einen Blick in das Menü "Extras" - "Zugriffsrechte" - "Rollen" bzw. "Datenbankanmeldungen".
Pro Rolle können Berechtigungen (Tabellendaten mit Lesen, Einfügen, Modifizieren und Löschen - andere Objekte mit Ausführungsrecht) vergeben werden.
deine Frage kann ich mit "Ja" beantworten.
Wirf mal einen Blick in das Menü "Extras" - "Zugriffsrechte" - "Rollen" bzw. "Datenbankanmeldungen".
Pro Rolle können Berechtigungen (Tabellendaten mit Lesen, Einfügen, Modifizieren und Löschen - andere Objekte mit Ausführungsrecht) vergeben werden.
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
22. Juli 2014 08:51
Das ist mir schon auch klar. 
Das haben wir auch in allen Feinheiten ausgenutzt. Will heißen, wir haben pro Aufgabengebiet Rollen mit den entsprechenden Rechten angelegt.
Was mich so wundert ist folgendes:
Ich habe eine Rolle Personal, in dieser Rolle ist die Tabelle 5208 nicht enthalten.
Diese Rolle habe ich Benutzer A (der schon seit längerem existiert) zugewiesen und dieser Benutzer kann ohne Fehlermeldung die Mitarbeiterkarte öffnen.
Ich habe gestern Benutzer B neu angelegt - also in der Windows Anmeldung eingetragen und dann die Zugriffsberechtigungen von Benutzer A auf Benutzer B kopiert.
Benuzter B bekommt beim Aufruf der Mitarbeiterkarte aber die Fehlermeldung, dass er auf die Tabelle 5208 nicht zugreifen darf.
Einziger Unterschied zwischen Benutzer A und B ist, dass A auf SQL Ebene dbo ist und B halt nicht.
Gebe ich Benutzer B nun dbo, klappts auch dort.
Aber dieses Phänomen umgeht doch das NAV Berechtigungskonzept... Ich verstehe es halt nicht.
Gruß
42
Das haben wir auch in allen Feinheiten ausgenutzt. Will heißen, wir haben pro Aufgabengebiet Rollen mit den entsprechenden Rechten angelegt.Was mich so wundert ist folgendes:
Ich habe eine Rolle Personal, in dieser Rolle ist die Tabelle 5208 nicht enthalten.
Diese Rolle habe ich Benutzer A (der schon seit längerem existiert) zugewiesen und dieser Benutzer kann ohne Fehlermeldung die Mitarbeiterkarte öffnen.
Ich habe gestern Benutzer B neu angelegt - also in der Windows Anmeldung eingetragen und dann die Zugriffsberechtigungen von Benutzer A auf Benutzer B kopiert.
Benuzter B bekommt beim Aufruf der Mitarbeiterkarte aber die Fehlermeldung, dass er auf die Tabelle 5208 nicht zugreifen darf.
Einziger Unterschied zwischen Benutzer A und B ist, dass A auf SQL Ebene dbo ist und B halt nicht.
Gebe ich Benutzer B nun dbo, klappts auch dort.
Aber dieses Phänomen umgeht doch das NAV Berechtigungskonzept... Ich verstehe es halt nicht.
Gruß
42
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
22. Juli 2014 09:05
Hallo,
100% sicher bin ich mir nicht, aber ich vermute, dass durch die dbo-Berechtigungen auf SQL-Ebene die Berechtigungsrollen von NAV umgangen werden.
Falls ihr ein Testsystem habt, könntest du dies mit einem User, der unter NAV eingeschränkte Rechte hat, aber unter SQL dbo ist, prüfen, ob mit diesem User z.B. Daten aus Tabellen gelöscht werden können, auch wenn dieser User unter NAV keine Löschberechtigung für diese Tabellendaten hat.
Dies würde dann bedeuten, dass deine dbo-User "all-inclusive"-Rechte in NAV haben.
100% sicher bin ich mir nicht, aber ich vermute, dass durch die dbo-Berechtigungen auf SQL-Ebene die Berechtigungsrollen von NAV umgangen werden.
Falls ihr ein Testsystem habt, könntest du dies mit einem User, der unter NAV eingeschränkte Rechte hat, aber unter SQL dbo ist, prüfen, ob mit diesem User z.B. Daten aus Tabellen gelöscht werden können, auch wenn dieser User unter NAV keine Löschberechtigung für diese Tabellendaten hat.
Dies würde dann bedeuten, dass deine dbo-User "all-inclusive"-Rechte in NAV haben.
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
5. August 2014 10:36
Hallo Jörg,
es sieht ganz so aus wie Du vermutet hast...
Für mich sieht es aktuell so aus, dass die dbo Berechtigung mir den grundsätzlichen Zugriff gestattet und das NAV oben drüber das ganze dann "verfeinert". Will heißen den Zugriff auf eine Tabelle gewährt oder verweigert.
Oder kann das evtl. daran liegen, dass es manche Tabellen in aktuellen Lizenzversionen einfach nicht mehr gibt...
Da mein Plan aber eigentlich war/ist von den dbo Berechtigungen weg zu kommen, bin ich jetzt etwas ratlos wie ich jetzt vorgehen muss damit meine Berechtigungen über die NAV Schiene laufen.
Gruß
42
es sieht ganz so aus wie Du vermutet hast...
Für mich sieht es aktuell so aus, dass die dbo Berechtigung mir den grundsätzlichen Zugriff gestattet und das NAV oben drüber das ganze dann "verfeinert". Will heißen den Zugriff auf eine Tabelle gewährt oder verweigert.
Oder kann das evtl. daran liegen, dass es manche Tabellen in aktuellen Lizenzversionen einfach nicht mehr gibt...
Da mein Plan aber eigentlich war/ist von den dbo Berechtigungen weg zu kommen, bin ich jetzt etwas ratlos wie ich jetzt vorgehen muss damit meine Berechtigungen über die NAV Schiene laufen.
Gruß
42
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
5. August 2014 11:00
Hallo,
hast du mal geprüft, ob es irgendeine Rolle gibt, die Lese- oder sonstige Rechte auf Tabellendaten der Table-ID 5208 oder der Table-ID 0 (= alle Tabellendaten) enthält?
Wenn JA - ist diese Rolle dem Benutzer A zugeordnet und dem Benutzer B nicht?
hast du mal geprüft, ob es irgendeine Rolle gibt, die Lese- oder sonstige Rechte auf Tabellendaten der Table-ID 5208 oder der Table-ID 0 (= alle Tabellendaten) enthält?
Wenn JA - ist diese Rolle dem Benutzer A zugeordnet und dem Benutzer B nicht?
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
5. August 2014 11:56
Ja habe ich gemacht - die Referenzbenutzer haben lt. der zugewiesenen NAV Rollen keinen Zugriff auf die Tabelle - bekommen aber auch keine Fehlermeldung.
Re: Berechtigungsproblem Tabelle "Personalwesen Bemerkungsze
5. August 2014 13:56
Hallo,
ich habe dies nun mal mit einer NAV2009-Datenbank und SQL2008 getestet.
Bei einem User, der als dbo eingerichtet ist, habe ich in NAV alle Berechtigungsrollen entfernt und nur die Standardrolle "ALLE" eingetragen.
Mit diesem User konnte ich in NAV danach nichts mehr tun (z.B. Debitoren öffnen + bearbeiten).
ich habe dies nun mal mit einer NAV2009-Datenbank und SQL2008 getestet.
Bei einem User, der als dbo eingerichtet ist, habe ich in NAV alle Berechtigungsrollen entfernt und nur die Standardrolle "ALLE" eingetragen.
Mit diesem User konnte ich in NAV danach nichts mehr tun (z.B. Debitoren öffnen + bearbeiten).